0 引言

近年來,陸續發生了烏克蘭、以色列電網受攻擊等重大安全事件,預示金融、電力、通信等涉及國家安全的信息基礎設施面臨著較大的風險隱患與安全威脅^[1]。目前,電力通信網絡信息的傳輸安全主要使用經典保密通信模式或者專網專用、內外網隔離的策略,但各種加密方式的安全性仍然依托于密碼算法的支撐,會話密鑰被用在高級加密標準（Advanced Encryption Standard,AES）、數據加密標準（Data Encryption Standard,DES）等加密算法中,以保證通信的機密性、完整性^[2]。但是這種安全性是有條件的,它們的密鑰預交換共享過程依賴于計算復雜度,隨著計算機處理能力的提升,基于傳統安全加密機制的網絡傳輸設備也面臨著被破解的風險,黑客攻擊帶來的風險巨大且與日俱增。而量子保密通信是在量子力學的基礎上利用量子態的不確定性、不可分割性和偏振性等性質,可以實現無條件安全通信^[3]。如果在電網生產領域中建設量子保密通信網絡,則可以提高電網中的通信信息安全。

本文首先對量子保密通信的原理進行了簡單的介紹;然后就量子加密系統如何在電力通信網中進行應用給出了具體的架構設計方案;接著結合北京電力公司的業務特點,設計了北京城區某區域重要供電節點的配電自動化業務的設計部署方案,為量子保密通信技術在電網的實際應用提供參考;最后對量子保密通信技術未來的應用進行了展望。

 1 量子保密通信原理

在量子保密通信過程中,發送方和接收方采用單光子的狀態作為信息載體來建立密鑰。由于單光子不可分割,竊聽者無法將單光子分割成2部分,讓其中一部分繼續傳送,而對另一部分進行狀態測量獲取密鑰信息。由于量子測不準原理和不可克隆定理,竊聽者無論是對單光子狀態進行測量或是試圖復制之后再測量,都會對光子的狀態產生擾動,從而使竊聽行為暴露^[4]。數學上可以嚴格證明,若密鑰是絕對保密的,且密鑰長度與被傳送的明文長度相等,那么通信雙方的通信是絕對保密的。

量子保密通信是以量子密鑰分發（Quantum Key Distribution,QKD）為核心,基于量子不可克隆原理,通過單光子信號的量子通信協議和“一次一密”的方式,實現用戶間無條件的安全通信,極大提高通信傳輸網絡的安全水平^[5]。BB84協議是最早提出的量子保密通信協議（見圖1）,是其他協議的基礎,并且最接近實用化。

圖1 BB84協議示意Fig.1 Schematic diagram of BB84 protocol

BB84協議中使用光子的水平偏振態、垂直偏振態和±45°偏振態來實現編碼。如圖1所示,發送端Alice主要由量子信號源、調制器、隨機數發生器等部件構成,根據隨機生成的二進制數串,生成不同的偏振態單光子作為發送的量子比特。接收端Bob通過量子信道接收單光子信號,隨機選擇基矢對光子進行測量,并將測量基矢通過經典信道告知Alice,雙方保留基矢相同的部分;最后,雙方再通過公開一段量子密鑰,來估計誤碼率和可能的竊聽者Eve的存在,最終Alice和Bob共同產生量子密鑰^[6]。

 2 電力量子保密通信網架構設計原則

電力通信網作為與電網共生并存的第二張實體網絡,承載著電力生產、調度、營銷、管理等重要業務,是信息時代變革和重塑電網生產要素組合的重要部分,而量子保密通信技術作為目前最安全的通信加密體系,在電力通信網中具有廣闊的應用前景^[7]。但是電力通信網較為復雜,在具體應用于某種業務時需要針對其特點進行多個方面的設計。

2.1 業務流設計

在進行業務流設計時,要考慮站點兩邊的設備類型、數據量大小、時延要求和數據量時間發布等方面的因素,針對站點不同的情況進行相應的設計。業務系統接入業務應用層,經過量子VPN網關利用量子密鑰進行加密處理后,通過利用國網數據網創建的IPSec隧道轉發至對端,再經過量子VPN網關的解密操作還原出未加密的真實數據,到達目的
端^[8]。其中,需要在原有業務系統與網關之間接入業務交換機,通過在業務交換機上創建VLAN的方式旁掛上量子VPN網關,并將原先的數據流到數據網邊緣設備調整為到量子VPN網關加密后再轉發至數據網邊緣設備即可^[9]。量子保密通信設備連接示意如圖2所示。

圖2 量子保密通信設備連接示意Fig.2 Connection diagram of quantum private communication equipment

2.2 VPN隧道設計

量子VPN網關之間通過國網數據網建立點對點的IPSec隧道。使用隧道模式,在隧道中傳輸的業務數據需要經過量子密鑰的對稱加密處理,而量子密鑰的獲取是通過量子VPN網關與QKD的即時交互獲得^[10]。

隧道模式的工作原理是先將IP數據包整個進行加密后再加上ESP的頭和新的IP頭,這個新的IP頭中包含有隧道源/宿的地址。當通過ESP隧道的數據包到達目的網關（即隧道的另一端）后,利用ESP頭中的安全相關信息對加密過的原IP包進行安全相關處理,將已還原的高層數據按原IP頭標明的IP地址遞交,以完成信源—信宿之間的安全傳輸^[11]。因此,基于此原理,隧道模式常用于網關與網關之間保護的內部網絡,同時亦可用于主機與網關之間的安全保護。而傳輸模式的原理是在IP包的包頭與數據包之間插入一個ESP頭,并將數據包進行加密,然后在公網上傳輸。這種模式的特點是保留了原IP頭信息,即信源/宿地址不變,所有安全相關信息包括在ESP頭中。ESP傳輸模式適用于主機與主機的安全通信^[12]。在設計VPN隧道時,需要考慮節點間通信需求,是單個主站對應多個子站,還是多個主站對應多個子站,或是子站間也有通信的需求。

2.3 量子通道設計

量子密鑰層的量子密鑰生成與管理終端（發送端／接收端）之間的連接是通過獨立的單芯裸光纖,中間可以進行跳接,但不能經過傳輸或光電轉換設備,否則會影響光量子信號。同時,考慮到量子線路的穩定成碼條件,對QKD與QKD之間的距離和光纖衰耗也有一定的要求,建議通信距離小于50 km,光纖衰減小于13 dB^[13]。如果通信距離在50 km內宜選擇常規型設備,50~80 km之間選擇加長型設備。此外,還要綜合線路的隧道和架空等環境條件,架空情況下對風力和氣溫等不可控環境因素的影響,也會給量子線路的成碼率產生影響,所以需要根據實際鏈路狀況選擇是否使用帶有快速偏振反饋功能的設備進行糾偏或是采用基于相位調制的量子加密設備。

 3 北京城域配電自動化業務部署方案

北京城域電力量子通信保密技術在電網生產領域的綜合示范應用項目基于目前已有的北京電力通信網資源,以及“北京城域電力量子保密組網”基礎網絡建設,通過選取合適的試驗應用站點、線路和業務,開展實際環境下的示范應用建設。選取北京城區公司與某區域重要供電節點之間的配電自動化業務,部署量子保密通信系統,實現配電自動化業務數據的量子保密通信傳輸,驗證量子保密通信系統在調度數據網上的應用效果。配電自動化業務架構如圖3所示。

圖3 配電自動化業務架構Fig.3 Architecture diagram of distribution automation

由于該配電自動化業務只涉及2個站點之間的通信,所以其VPN隧道的設計采用點對點的隧道設計模型,且節點距離較近。網絡的量子通道采用管道光纖,量子通信設備采用常規型設備,不需要設置中繼節點。另外,光纖屬于非架空型光纜,因此采用基于偏振調制的設備且不需要加入偏振反饋模塊。

配電自動化組網結構復雜,跨調度數據網和EPON接入網。目前EPON段網絡難以提供空余裸纖給量子保密系統,因此將保密段設置在調度數據網邊緣,即城區公司主站側和某區域節點調度數據網邊緣。城區公司側,量子VPN網關物理旁接、邏輯串接入業務核心交換機,通過在核心交換機上配置路由實現數據選路。如還有其他業務,也可采用城區公司側方案旁接。配電自動化數據通過量子VPN網關進行隧道傳輸,到達對端量子VPN網關后,經對端量子VPN網關解密后轉發至目標設備,實現城區公司和某區域重要供電節點之間的配電自動化業務的量子保密通信數據傳輸。

 4 量子保密通信技術應用展望

量子保密通信技術作為信息通信領域重要的發展方向,探索其在電力系統中的應用是非常有意義和前瞻性的工作。但目前量子保密通信技術的應用還存在著一定的局限性,未來還可以在以下幾個方面進行研究和發展。

1）長距離量子保密通信研究。目前量子信號在商用光纖上的成碼率、傳輸距離、抗干擾性能都有一定局限性,一般最大傳輸距離為50~80 km,無法滿足長距離加密通信的需求^[14]。多家科研機構正在研制能夠在光纖中進行長距離密鑰分發的量子設備,同時在未來可以考慮通過發射量子衛星實現天地一體的量子密鑰分發,從而使量子保密通信的通信距離增加。

2）復雜環境下進行量子保密通信。量子密鑰分發主要使用獨立光傳輸通道,涉及通信網絡改造。目前電力通信光纜部分為架空線路,相對于地埋光纜,量子信號在光纜中傳輸更易受環境干擾,對量子密鑰的生成有一定的影響^[15-16]。因此,針對電力架空線路及實際應用環境,可以在量子保密通信系統中加入偏振反饋裝置,然后設計相應的部署方案,使量子保密技術能夠適應電力系統各種復雜的環境。

3）能對多種信息格式進行加密。現有的量子保密通信應用體系主要是與IPSec VPN技術相配合,對IP數據包進行加解密操作,對非IP數據尚無成熟產品方案,而電網中縱差設備間的通信未采用IP包的方式,無法直接使用現有的量子加密體系。未來可以對量子加密系統進行改進,使其對各種類型的業務數據都能夠進行加密。

 5 結語

隨著信息技術的演進和攻擊技術的發展,傳統的信息加密方法日益力不從心,而量子保密通信作為新一代的通信加密技術,已完成了所有的理論準備和部分實踐應用,且具備了應用到電網業務上的基本條件。本文針對量子保密通信在電力系統中的應用給出了架構設計方案,并在北京城域電網中的配電自動化生產應用領域設計了具體的部署方案,最后對量子保密通信技術發展進行了展望。面對千差萬別的各類電網業務,量子保密通信還需要在應用的過程中不斷創新改進,才能在電力生產和運營中發揮出應有的效益。

(編輯:張欽芝)

參考文獻

[1] 陳暉, 祝世雄, 朱甫臣. 量子通信的安全性分析[J]. 信息安全與通信保密, 2008, 30(12): 120-121. 
CHEN Hui, ZHU Shi-xiong, ZHU Fu-chen.Study on security of quantum communication[J]. Information Security and Communications Privacy, 2008, 30(12): 120-121.

[2] 尹浩, 韓陽. 量子通信原理與技術[M]. 北京: 電子工業出版社, 2013.

[3] KEITH S, STUART G.Optical network security: technical analysis of fiber tapping mechanisms and methods for detection and prevention[C]// IEEE military communications conference, 2004.

[4] WANG X B.Beating the photo-number-splitting attack in practical quantum cryptography[J]. Physical Review Letters, 2005, 94(23): 230-233

[5] 朱暢華, 裴昌幸, 馬懷新, 等. 一種量子局域網方案及其性能分析[J]. 西安電子科技大學學報: 自然科學版, 2006, 33(6): 839-843. 
ZHU Chang-hua, PEI Chang-xing, MA Huai-xin, et al.A scheme for quantum local area network and performance analysis[J]. Journal of Xidian University: Natural Science Edition, 2006, 33(6): 839-843.

[6] GISIN N, RIBORDY G, TITTEL W, et al.Quantum cryptography[J]. Reviews of Modern Physics,2002(74): 145-195.

[7] CASTELVECCHI D.IBM’s quantum cloud computer goes commercial[J]. Nature, 2017, 543(7644): 159.

[8] BENNETT C, BR G.Quantum cryptography: public key distribution and coin tossing[C]// Proceeding of the IEEE International Conference on Computers, System and Signal Processing, 1984.

[9] 張翼英, 張素香. 量子通信及其在電力通信的應用[J]. 電力信息與通信技術, 2016, 14(9): 7-11. 
ZHANG Yi-ying, ZHANG Su-xiang.Quantum communication and its application in power communication[J].Electric Power Information and Communication Technology, 2016, 14(9): 7-11.

[10] 葉志遠, 陳華智, 王文清. 量子密鑰分發保密通信系統電力應用方向探討[J]. 工程建設與設計, 2016,64(8): 236-238. 
YE Zhi-yuan, CHEN Hua-zhi, WANG Wen-qing.Exploring the power application direction of secure communication system for quantum key distribution[J]. Construction & Design for Project, 2016, 64(8): 236-238.

[11] SHOR P W P. Simple proof of security of the BB84 quantum key distribution protocol[J]. Physical Review Letters, 2000, 76(6): 441-444.

[12] 王繼業, 郭經紅, 曹軍威, 等. 能源互聯網信息通信關鍵技術綜述[J]. 智能電網, 2015, 3(6): 473-485. 
WANG Ji-ye, GUO Jing-hong, CAO Jun-wei, et al.Review on information and communication key technologies of energy Internet[J]. Smart Grid, 2015, 3(6): 473-485.

[13] BRASSARD G, LTKENHAUS N, MOR T, et al.Limitation on practical quantum cryptography[J].Physical Review Letters, 2000, 76(6): 1330-1333.

[14] JOHNSON M W, AMIN M H S, GILDER S, et al. Quantum annealing with manufactured spins[J].Nature, 2011, 537(473): 194-198.

[15] CHARLES H B.Quantum cryptography using any two nonorthogonal states[J]. Physical Review Letters,1992, 68(2): 3121-3124.

[16] 楊永標, 李逸馳, 陳霜, 等. 雙向互動服務平臺的關鍵技術與總體構架[J]. 廣東電力, 2015, 28(8): 28-32. 
YANG Yong-biao, LI Yi-chi, CHEN Shuang, et al.Key technology and overall framework of bilateral interaction service platform[J]. Guangdong Electric Power, 2015, 28(8): 28-32.